テクノロジー

NTTデータのサイバー・セキュリティー担当者・宮本久仁男氏ーー脆弱性の克服などセキュリティー対策に尽力すべきだ

宮本久仁男氏

宮本久仁男氏

 今回は、株式会社NTTデータ(東京都江東区)品質保証部情報セキュリティ推進室の「NTTDATA-CERT(Computer Emergency Response Team)」シニアエキスパートである宮本久仁男氏の2回目。

-- 前回、宮本さんは2013年夏、日本の中央省庁がサイバー攻撃を受けたことに関し、その攻撃の中には「ゼロ・デイ脆弱性」が使われたものもあった、と言いました。ということはソフトウエアには「未発見の脆弱な部分」が多数あるということですね。

宮本 はい。どれくらいあるのか正確には分からないのですが、よく言われているのは「プログラム上の誤り・欠陥である『バグ』のないソフトウエアなどあるわけがない」ということです。また「ソフトウエアの規模が大きくなればなるほど『バグ』の数も多くなる」とも言われています。バグのうち悪用が可能だと確認されたものが「脆弱性」として管理されています。

 例えばマイクロソフト社のWindowsの場合、開発にあたっては多くの試験を実施し、脆弱性をなくそうとしていることは想像に難くありません。それでもなお見つかっていない脆弱性が多くあると考えられます。同社は毎月第2水曜日に、新たに見つかった脆弱性と、その修正ファイルを一覧表にして発表しています。それを見ると「今月はいっぱい出てきたな」と思う時もあります。

NTTデータのサイバー・セキュリティー担当者・宮本久仁男氏ーー100件を超えた2013年の脆弱性の修正情報

-- これまで修正され、公開されたものはどれぐらいあったのでしょうか。

宮本 Windowsだけでなく、同社の他のソフトウエアも含めて見た場合、13年に公開された脆弱性の修正情報は100件を超えました。1件の情報に複数の脆弱性が含まれることも多いことから、報告・修正された脆弱性の数は、それ以上になるのではないでしょうか。

 ただし前回、説明したとおり、サイバー攻撃の多くは使い古された〝道具〟がまだ使われています。それは①既に攻撃方法が確立されており、低コストで実行できる②ツール化された安価なものが流通しており、簡単に入手できる--などからです。

 これに対してゼロ・デイ脆弱性を使っての「ゼロ・デイ・アタック」は少なく、全体の1%未満〜5%程度という調査結果も出ています。どうしてか。ゼロ・デイ・アタックは道具としては強力ですが、それには大変なコストがかかるからです。ですから「ここ一番」という時に使われます。例えば、09年に起きた「スタクスネット・ウイルス」によるイラン核施設に対する攻撃では、物すごいカネが掛けられ、贅沢にも4つのゼロ・デイ脆弱性が使われていました。

-- この攻撃は米国とイスラエルが共同で行ったと言われていますが。

宮本 「攻撃を絶対に成功させたい局面ではゼロ・デイ脆弱性への攻撃手段を躊躇することなく投入する」と言われています。ただし、それはカネをふんだんに出せる攻撃者の考え方と言っていいでしょう。ただ、この数カ月でゼロ・デイ脆弱性が使われる頻度が高くなってきているように見えます。油断したら足元をすくわれそうです。

-- ゼロ・デイ・アタックを受けた場合、それはすぐに分かるものですか。

宮本 即座には無理です。ただし「攻撃されたかもしれない」との疑いが持たれたPCについて汗をかきながら分析していくと、PC上で変なものが動いており、どこかの不審なホストにアクセスしているようだ、というのが2、3日で分かることもあります。しかし、どういう被害が出ているかが分かるまでには、もっと時間がかかります。

NTTデータのサイバー・セキュリティー担当者・宮本久仁男氏ーーPCの利用者に脆弱性をケアさせるのはおかしい

-- コンピューターには脆弱性が付き物であることは分かりました。私たちユーザーは「脆弱性」にどう対処していけばいいのでしょうか。 

宮本 具体的によく言われているのは「OSやアプリケーション環境の最新化」と「セキュリティーソフトウエアの最新化」です。既に判明・対処されている脆弱性についてはOSやアプリケーションの最新化によって、またウイルスをはじめとするマルウエア(悪意あるソフトウエア)のうちよく使われるものにはセキュリティーソフトウエアで対応可能です。

 ゼロ・デイ脆弱性が使われた攻撃については多くの場合、感染や被害が発覚した後の対応が多くなります。このような場合には、攻撃された事実を早期に特定することが重要です。発見自体もPC単体を調査した結果だけではなく、通信記録をはじめとする証跡類の精査を行った結果が手掛かりになることも多いですね。

-- 宮本さんはかねがね「家電感覚で使っても危なくないコンピューターを提供することが作り手側の課題だ」と発言していますね。作り手側は、ソフトウエアの作り方をもっと考えてほしいということですか。

宮本 そうです。ソフトウエアを作る側は脆弱性の問題を含めてセキュリティーにもう少し気を使ってもいいのではないか、もしくはそういうふうに考える人が作り手側にもっと増えてほしい、ということです。IT業界に限らず、あらゆる業界でソフトウエアが「キーパーツ」になってきています。そうした中で日々、ソフトウエアが内包している脆弱性の脅威にさらされている利用者がいるわけです。その利用者に脆弱性をケアさせるというのは作り手側としてどうなのか、と思います。

 例えば、ある日、それまで使っていたエアコンのスイッチを入れたところ「脆弱性が見つかりました。修正ファイルを入手して、対応してください」と言われたとした場合、「何だ? これは」と思うに違いありません。それと同じです。

-- 脆弱性問題の続きと、サイバー攻撃に対処し得る人材育成への取り組みついては次回、伺いましょう。

関連記事

好評連載

エネルギーフォーカス

一覧へ

緑の経済成長とエネルギー

[連載] エネルギーフォーカス

Energy Focus

[連載] エネルギーフォーカス

今後、10年後の電力業界の様相(2)

[連載] エネルギーフォーカス

発電単価から既存原発の経済性を考える

テクノロジー潮流

一覧へ

科学技術開発とチームプレー

[連載] テクノロジー潮流

テクノロジー潮流

[連載] テクノロジー潮流

エボラ出血熱と情報セキュリティー

[連載] テクノロジー潮流

21世紀の日本のかたち 農電業と漁電業

[連載] テクノロジー潮流

工学システムの安全について

[連載] テクノロジー潮流

エネルギー移行と国民の価値観の変化

ビジネストレンド新着記事

注目企業

一覧へ

葬儀業から脱皮しライフイベントのプラットフォーム運営企業へ―ライフアンドデザイン・グループ

古い体質が残り実体が見えにくい葬儀業界の中で、「パッケージ化された分かりやすいサービス」「家族葬など小規模葬儀に特化」「低価格だが高品質のおもてなし」「出店スピードの速さ」等を強みに事業拡大。人生の終末や死別後に備えた事前準備を行う。文=榎本正義村元 康・ライフアンドデザイン・グループ社長プロフィ…

人材領域で培ったテクノロジーを活用し社会課題を解決する―ビズリーチ

上場して分かったTOKYO PRO Marketのメリット―前田浩・ニッソウ社長に聞く

新社長登場

一覧へ

地域に根差した証券会社が迎えた創業100周年―藍澤卓弥(アイザワ証券社長)

中堅証券会社のアイザワ証券は今年7月、創業100周年を迎えた。この記念すべき年に父からバトンを受け継ぎ新社長となったのが、創業者のひ孫にあたる藍澤卓弥氏。地域密着を旗印に掲げてここまで成長してきたアイザワ証券だが、変化の激しい時代に、藍澤社長は何を引き継ぎ、何を変えていくのか。聞き手=関 慎夫 Photo:西…

メディカル事業を横串にすることでシナジーを発揮し、顧客満足度向上へ 伏見有貴(リゾートトラスト社長)

新事業の芽を伸ばすことでさらに大きな個性的な会社を目指す――日髙祥博(ヤマハ発動機社長)

イノベーターズ

一覧へ

IT化で変革する産業廃棄物処理の世界―福田隆(トライシクルCEO)

一般には馴染みが薄い産業廃棄物処理の世界。古い慣習が残る業界を、ITによって変えようとしているのがトライシクルの福田隆社長だ。業界の老舗企業がテクノロジー導入に舵を切った背景と今後の展望を聞いた。(吉田浩) 福田隆・トライシクルCEOプロフィール   産廃処理で「B to B版メルカ…

再エネ時代到来に向け、大石英司・みんな電力社長が目指す「顔の見える」世界

佐藤輝英・BEENEXTファウンダーに聞く「起業家から投資家に転身した理由」

大学の挑戦

一覧へ

専門分野に特化した“差別化戦略”で新設大学ながら知名度・ブランド力向上を実現――了徳寺大学・了徳寺健二理事長・学長

2000年設立で、了徳寺大学が母体のグループ法人。医療法人社団了徳寺会をグループ内に持つ。大学名の「了」は悟る、了解する、「徳」は精神の修養により、その身に得た優れた品性、人格を指す。「了徳寺」は人間としての品性、道を論す館の意味を込めた大学名だ。 聞き手=本誌/榎本正義 、写真/佐々木 伸 …

大学の挑戦

創立100周年、西南学院大学・K.J.シャフナー学長「世界に貢献しインパクトを与える人材を育てる」〜国際交流・就職支援・インターネット出願〜 

「“STAND BY YOU”のスローガンの下、学生一人ひとりに寄り添う教育を」――中央学院大学・佐藤英明学長

経済界からのお知らせ

最新号のご案内

経済界2019年8月号
[特集] SDGsは江戸にある
  • ・「仁義道徳」 経済人に必要な「利益」と「倫理」
  • ・「利他」 「気候変動に具体的な対策を お金の流れが意識を変える」
  • ・「善の巡環」 高邁な理想を支える創意工夫と挑戦
  • ・「才覚、算用、始末、商人倫理」 SDGsの精神宿る江戸商人
  • ・「国利民福」 国が栄えれば人々も幸福になる
  • ・「先も立ち、我も立つ」 石田梅岩と商人道徳
  • ・「気丈」 学問は「治安」「エンタメ」「立身出世」──江戸庶民の教育事情
  • ・「心田開発」 二宮尊徳の報徳思想
[Special Interview]

 里見 治(セガサミーホールディングス会長グループCEO)

 日本初のIR事業への参入はエンターテインメント事業の集大成

[NEWS REPORT]

◆メガバンクからの陥落目前 みずほ銀行の昨日・今日・明日

◆巨大ドラッグストアチェーン誕生か 業界再編はココカラ始まる

◆カリスマ・鈴木修会長に陰り? ピンチを迎えたスズキの前途

◆G20農相会合で見えてきたスマート農業の未来像

[特集2]

 AI時代に稼げる資格

 今必要な資格、将来必要な資格はこれだ!

ページ上部へ戻る